Hardware & Software Microsoft verschiebt Patchday auf unbestimmte Zeit

Eigentlich wollte Microsoft am heutigen Mittwoch Patches für seine Produkte veröffentlichen. Weil kurz vorher Fehler in einem Patch gefunden wurden, hat der Hersteller den Patchday auf unbestimmte Zeit verschoben.

Viele Microsoft-Kunden sind möglicherweise knapp vor erheblichen Problemen bewahrt worden. Eigentlich wollte Microsoft wie gewohnt am zweiten Dienstag im Monat seinen Patchday veranstalten. Das erfolgt meist am späten Dienstagabend deutscher Zeit. In diesem Monat wurde der Patchday jedoch auf unbestimmte Zeit verschoben: In einem der geplanten Patches wurden in letzter Sekunde erhebliche Probleme gefunden. Welche Schwierigkeiten dadurch vermieden worden wären, teilte Microsoft nicht mit. Auch einen neuen Termin für den Patchday nannte Microsoft nicht.

Microsoft veröffentlicht seit vielen Jahren Sicherheits-Patches einmal im Monat. Bevor diese Änderung im Herbst 2003 eingeführt wurde, kam es vor, dass Systeme mehrmals im Monat aktualisiert werden mussten, um Sicherheitslücken zu schließen. Mit dem Patchday wird der Administrationsaufwand vor allem von Windows-Systemen vereinfacht, weil Computer nur noch in Ausnahmefällen mehr als einmal im Monat mit Sicherheits-Patches versehen werden müssen. Auch andere Software-Anbieter haben kurz danach feste Patchday-Intervalle eingeführt.

Patchday verlief nicht immer ohne Probleme
Seit der Umstellung auf einen festen monatlichen Patchday hat Microsoft den betreffenden Tag eingehalten. Das lief nicht immer reibungslos, und es kam vor, dass Patches bei Kunden zu Problemen führten. Einige Male musste Microsoft reagieren und die Verteilung einzelner Patches aussetzen. So kam es vor, dass die Windows-Systeme mancher Kunden nicht mehr starten wollten, und der betreffende Patch erst deinstalliert werden musste, damit die Computer wieder verwendet werden konnten. Später veröffentlichte Microsoft dann fehlerkorrigierte Patches.

Einen solchen Vorfall wollte Microsoft in diesem Monat offenbar verhindern und entschied sich daher, den Patchday zu verschieben.

Quelle; golem

 

[Fisher]

Windows 10 Februar Patchday wird auf den 14.März verschoben

Eigentlich sollten wir schon mit der Buildnummer 14393.823 bzw. 10586.800 unterwegs sein, aber der Patchday Februar wurde kurz zuvor abgesagt. Jetzt hat man den Blogbeitrag mit einem Update versehen und geschrieben, dass man den Patchday auf den geplanten März-Update-Dienstag (14.03.) verschieben wird. Damit bleibt die Lücke im SMB weiterhin offen und auch der Flash-Player im Microsoft Edge wurde noch nicht auf die neue Version upgedatet.

Warum es nun zu diesem Zwischenfall kam, da streiten sich die Geister und es wird schon wird spekuliert. Die einen schreiben, dass das Update-System umgestellt wurde und es dabei zu dicken Problemen kam. Siehe auch Windows Defender aktuell mit einem Update Problem, welches aber seit gestern behoben ist. Andere spekulieren, dass im Update selber ein Fehler enthalten ist, der die Rechner zum Absturz bringt. Aber wenn selbst Mary Jo von ihren Kontaktleuten und auch offiziell nichts in Erfahrung bringen konnte, sollte man die Spekulation sein lassen und es so hinnehmen wie es ist.

Was mich an der Sache wundert ist, dass nicht einmal das Flash Player Update ausgeliefert wird.
Wer auf Nummer sicher gehen will, sollte im Microsoft Edge Browser in den Einstellungen -> Erweiterte Einstellungen den „Adobe Flash Player“ auf Aus stellen.

zdf.net

 

[josef.13]

Microsoft soll angeblich Flash-Updates vor März-Patchday ausliefern
Der ausgefallene Februar-Patch-Day beschäftigt uns noch immer. Microsoft hatte sich bereits öffentlich für die Unannehmlichkeiten entschuldigt und bestätigt, die Updates erst zum regulären März-Termin nachzuholen. Nun gibt es aber allen Anschein nach eine Ausnahme, und zwar für den Adobe Flash Player.

Laut der Webseite betanews soll Flash bereits vorab, also noch vor dem 14. März eine Sicherheitsaktualisierung bekommen. Angeblich ist jetzt eine E-Mail aufgetaucht, in der Microsoft einige der größeren Partner darüber informiert. Im Wortlaut heißt es da: "Microsoft plant, Sicherheitsupdates für Adobe Flash Player freizugeben. Diese Updates werden auf den folgenden Betriebssystemen angeboten: Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 und Windows Server 2016. Bis zum nächsten geplanten monatlichen Update-Release am 14. März 2017 sind keine weiteren Sicherheitsupdates geplant."

Spoiler

Du musst angemeldet sein, um Bilder zu sehen.

Bugs in Flash und auch in Microsofts Internet Explorer...

Du musst angemeldet sein, um Bilder zu sehen.

.. dominieren mit Abstand und gehören zu den häufigsten ausgenutzten Sicherheitslücken.

Verfügbare Updates
Hintergrund sind die eigentlich automatischen Updates, die Windows mit seinen beiden Webbrowsern Edge und Internet Explorer 11 für Windows 8.1 und 10 anbietet. Somit sollen Sicherheitslücken im Flash immer im Hintergrund behoben werden, Microsoft liefert also verfügbare Updates für Flash gleich beim monatlichen Patch-Day mit aus. Im Februar wurde dieses Schema nun durch ein Problem bei dem Software-Riesen in Redmond durchbrochen und es gab ausnahmsweise keinen Patch-Day.

Einmal für alle Windows-Versionen
Adobe hat seine Aktualisierungen in der vergangenen Woche herausgegeben, dabei waren auch Security-Updates für mehrere als kritisch eingestufte Schwachstellen. Diese will Microsoft nun dem Bericht von betanews nach für Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 und Windows Server 2016 sobald wie möglich stopfen und noch vor dem März-Patchday entsprechende Update herausgeben. Bei Adobe liegt der Flash Player mittlerweile in Version 24.0.0.221 vor.

Quelle; winfuture

 

[josef.13]

Microsoft-Browser mit kritischen Flash-Sicherheitslücken
Microsoft hat für seine Webbrowser ein wichtiges Flash-Update zum Download bereitgestellt. Der Patch behebt kritische Sicherheitslücken, die Angreifern die Remotecodeausführung ermöglichen.

Seinen monatlichen Patchday zum Beheben von Sicherheitslücken hat Microsoft im Februar kurzerhand ausfallen lassen und auf März vertagt. Nun hat der Softwarekonzern aber ein Notfall-Update für den Flash-Player unter Windows veröffentlicht, das schnell installiert werden sollte, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Du musst angemeldet sein, um Bilder zu sehen.

Empfehlung: Installation des Sicherheits-Updates​

IE 10, 11 und Microsoft Edge betroffen
Hintergrund seien 13 kritische Flash-Sicherheitslücken in den Browsern Internet Explorer 10, 11 und Edge, die zur vollständigen Übernahme des Systems durch Angreifer führen können. Die meisten PCs installieren die Updates automatisch. Sonst findet sich die Windows-Update-Funktion in der Systemsteuerung. Neben Windows 10 erhalten auch Windows 8.1 (RT) und die aktuelleren Serverversionen des Microsoft-Betriebssystems ein Update.

Schritt zur Verbannung von Flash aus dem Browser
Durch die erheblichen Sicherheitsrisiken und den Vormarsch von HTML5 hat Flash einiges an Ansehen bei den Browserherstellern eingebüßt. Wie bereits berichtet, wird Microsoft mit der Veröffentlichung des Creators Update für Windows 10 Flash weitestgehend aus seinem Edge Browser verbannen. Nur wenn der Nutzer dann ausdrücklich der Verwendung von Flash zustimmt, werden entsprechende Multimedia-Inhalte angezeigt. Mit diesem Schritt ist Microsoft übrigens nicht allein, auch Google will bei Chrome möglichst wenig mit Flash zu tun haben. Der Browser legt seinen Fokus ab Version 56 ganz auf HTML5.

Quelle; teltarif

 

[josef.13]

Microsofts Doppel-Patch-Day Februar/März ist jetzt verfügbar
Microsoft hat den allmonatlichen Patch-Day eingeläutet und diesen Monat gleich noch nachgeholt, was im vergangenen Monat durch einen Fehler im Updatesystem auf der Strecke blieb. Heute gibt es nun endlich wieder wichtige Patches. 18 Updates warten nun auf die Nutzer, zehn davon schließen kritische Sicherheitslücken.

Microsoft hat zum allgemeinen Patch-Day im März 2017 nun 18 neue Updates veröffentlicht - einige davon gehörten streng genommen schon zum Februar-Patch-Day, darunter auch ein pacth für den Flash-Player. Die Sicherheits-Updates betreffen unter anderem Windows allgemein, Office, den Internet Explorer, Microsoft Edge, sowie Adobe Flash. Die komfortabelste Möglichkeit für die Aktualisierung stellen die von WinFuture zusammengestellten Update-Packs dar, diese werden wir sobald als möglich freischalten und euch auf dem Laufenden halten. Wichtig ist dafür, dass der Windows Update-Dienst vor der Installation abgeschaltet wird.

Außerdem gibt es für alle Nutzer von Windows 10 außerhalb des Insider Programms ein kumulatives Update für Windows 10 Desktop, und zwar für das Anniversary Update ebenso wie für die Threshold-Linie. Mehr dazu in Kürze in einem weiteren Beitrag!

MS17-006 - Kumulatives Sicherheitsupdate für Internet Explorer
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Internet Explorer. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt.

Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der dieses Sicherheitsrisiko erfolgreich ausnutzt, Kontrolle über ein betroffenes System erlangen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Benutzerkonten mit Vollzugriffsrechten erstellen.

Security Bulletin: MS17-006
Knowledge Base: KB4013073

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-007 - Kumulatives Sicherheitsupdate für Microsoft Edge
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Edge. Die Sicherheitsrisiken können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Microsoft Edge anzeigt. Ein Angreifer, der die Sicherheitsrisiken erfolgreich ausnutzt, könnte die Kontrolle über ein betroffenes System übernehmen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Benutzerkonten mit Vollzugriffsrechten erstellen.

Security Bulletin: MS17-007
Knowledge Base: KB4013071

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

Spoiler

Du musst angemeldet sein, um Bilder zu sehen.

MS17-008 - Sicherheitsupdate für Windows Hyper-V
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein authentifizierter Angreifer auf einem Gastbetriebssystem eine speziell gestaltete Anwendung ausführt, die bewirkt, dass das Betriebssystem des Hyper-V-Hosts beliebigen Code ausführt. Endbenutzer, die die Hyper-V-Rolle nicht aktiviert haben, sind nicht betroffen.

Security Bulletin: MS17-008
Knowledge Base: KB4013082

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-009 - Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer speziell gestalteten PDF-Inhalt online anzeigt oder ein speziell gestaltetes PDF-Dokument öffnet.

Security Bulletin: MS17-009
Knowledge Base: KB4010319

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-010 - Sicherheitsupdate für Microsoft Windows SMB-Server
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Angreifer eine Reihe speziell gestalteter Nachrichten an einen betroffenen Windows SMBv1-Server sendet.

Security Bulletin: MS17-010
Knowledge Base: KB4013389

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-011 - Sicherheitsupdate für Microsoft Uniscribe
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Windows Uniscribe. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Website besucht oder ein speziell gestaltetes Dokument öffnet. Für Benutzer mit Konten, die über weniger Systemrechte verfügen, kann dies geringere Auswirkungen haben als für Benutzer, die mit Administratorrechten arbeiten.

Security Bulletin: MS17-011
Knowledge Base: KB4013076

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-012 - Sicherheitsupdate für Microsoft Windows
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Angreifer eine speziell gestaltete Anwendung ausführt, die sich mit einem iSNS-Server verbindet und anschließend bösartige Anforderungen an den Server sendet.

Security Bulletin: MS17-012
Knowledge Base: KB4013078

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-013 - Sicherheitsupdate für Microsoft-Grafikkomponente
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows, Microsoft Office, Skype for Business, Microsoft Lync und Microsoft Silverlight. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Website besucht oder ein speziell gestaltetes Dokument öffnet. Für Benutzer mit Konten, die über weniger Systemrechte verfügen, kann dies geringere Auswirkungen haben als für Benutzer, die mit Administratorrechten arbeiten.

Security Bulletin: MS17-013
Knowledge Base: KB4013075

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-014 - Sicherheitsupdate für Microsoft Office
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Office. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Microsoft Office-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Für Kunden, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit Administratorrechten arbeiten.

Security Bulletin: MS17-014
Knowledge Base: KB4013241

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-015 - Sicherheitsupdate für Microsoft Exchange Server
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Exchange Outlook Web Access (OWA). Die Sicherheitsanfälligkeit kann Remotecodeausführung in Exchange Server ermöglichen, wenn ein Angreifer eine E-Mail mit einer speziell gestalteten Anlage an einen anfälligen Exchange-Server sendet.

Security Bulletin: MS17-015
Knowledge Base: KB4013242

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-016 - Sicherheitsupdate für Windows IIS
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft IIS Server. Die Sicherheitsanfälligkeit kann Rechteerweiterungen ermöglichen, wenn ein Benutzer eine speziell gestaltete URL anklickt, die auf einem betroffenen Microsoft IIS Server gehostet wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Skripte im Browser des Benutzers ausführen, um Informationen aus Websitzungen zu erhalten.

Security Bulletin: MS17-016
Knowledge Base: KB4013074

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-017 - Sicherheitsupdate für Windows Kernel
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Die Sicherheitsanfälligkeiten können Rechteerweiterungen ermöglichen, wenn ein Angreifer eine speziell gestaltete Anwendung ausführt.

Security Bulletin: MS17-017
Knowledge Base: KB4013081

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-018 - Sicherheitsupdate für Windows-Kernelmodustreiber
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Die Sicherheitsanfälligkeiten können Rechteerweiterungen ermöglichen, wenn sich ein Angreifer bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung ausführt, die die Sicherheitsanfälligkeiten ausnutzen und die Kontrolle über ein betroffenes System übernehmen kann.

Security Bulletin: MS17-018
Knowledge Base: KB4013083

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-019 - Sicherheitsupdate für Active Directory-Verbunddienste
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Active Directory-Verbunddienste (AD FS). Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Angreifer eine speziell gestaltete Anforderung an einen AD FS-Server sendet, wodurch der Angreifer vertrauliche Informationen über das Zielsystem lesen kann.

Security Bulletin: MS17-019
Knowledge Base: KB4010320

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-020 - Sicherheitsupdate für Windows DVD Maker
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Windows DVD Maker. Aufgrund der Sicherheitsanfälligkeit kann ein Angreifer ggf. an Informationen gelangen, mit denen ein Zielsystem weiter geschädigt werden kann.

Security Bulletin: MS17-020
Knowledge Base: KB3208223

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-021 - Sicherheitsupdate für Windows DirectShow
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn Windows DirectShow speziell gestaltete Medieninhalte öffnet, die auf einer schädlichen Website gehostet werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann in den Besitz von Informationen gelangen, mit denen ein Zielsystem weiter geschädigt werden kann.

Security Bulletin: MS17-021
Knowledge Base: KB4010318

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-022 - Sicherheitsupdate für Microsoft XML Core Services
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Benutzer eine schädliche Website besucht. Ein Angreifer kann einen Benutzer jedoch keinesfalls zum Klicken auf einen speziell gestalteten Link zwingen. Vielmehr muss ein Angreifer den Benutzer dazu verleiten, auf den Link zu klicken. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken.

Security Bulletin: MS17-022
Knowledge Base: KB4010321

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

MS17-023 - Sicherheitsupdate für Adobe Flash Player
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Adobe Flash Player unter allen unterstützten Editionen von Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 und Windows Server 2016.

Security Bulletin: MS17-023
Knowledge Base: KB4014329

Quelle; winfuture

 

[kiliantv]

Hier lief alles durch.

Du musst angemeldet sein, um Bilder zu sehen.

 

[Fisher]

Einen "Scherz" hat sich MS beim Patchday auch erlaubt.

Nach Installation der Updates erscheint folgender Hinweis:

Du musst Regestriert sein, um das angehängte Bild zusehen.

Wer darauf klickt, kommt zur Anmeldeldeseite für das Windows Insider Programm.

MS vergisst dem User leider mitzuteilen, dass Insider Builds Testversionen ohne Garantie auf Stabilität sind.

Wer also lediglich an stabilen Versionen interessiert ist, sollte sich von Insiderversionen fernhalten oder sie abseits seines Hauptbetriebssystems installieren.

Gruß

Fisher